传统的单点网络安全产品如杀毒和防火墙软件被称为“被动的防御”已不是第一次了。根据IDC的报告,70%的安全损失是由企业内部原因造成的。这样的数据可能有点耸人听闻,不过,企业肯定遇到过这样一些事情:因为某一员工误操作造成公司服务器上重要文档丢失;由于没有清晰定义每位员工在系统内的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露……对于这些来自公司内部的安全问题,“兵来将挡,水来土掩”的被动防御确实显得力不从心。
针对这样的情况,“主动”的安全管理理念被一些以管理软件著称的厂商推崇备至。CA公司11月13日在其首站安全产品巡展中再一次强调了这一理念。一方面借赤壁之战的典故展示其eTrust安全管理解决方案“掌控安全”的优势,同时也是在“游说”安全产品的使用者从被动变主动。
在这里,“主动”的理念是通过落实到安全软件的一些具体应用点来实现的。一方面协助企业分析安全信息,从分析结果中获得采取主动的目标。例如CA公司eTrust的组成部分SecurityCommandCenter,就是针对安全信息纷繁复杂的情况,通过集中的管理和控制来提升管理员的工作效率。具体的情况可能是,用户的防火墙来自于不同厂商,他们对同一个威胁的警告是不一样的。对于这样的信息,用户不是产品专家,而这个软件就可以协助企业分析过滤并决策,迅速对威胁做出反应。另一方面,把现实中体现人类思想的安全规章制度通过3A(管理、授权、认证)一类的安全软件强制实现。IBM公司推出的Tivoli安全管理软件,就是希望通过对身份、访问、隐私乃至威胁的管理来协助企业主动控制安全风险和用户隐私。
推广理念的关键是将其落实到具体的操作细节,而接受理念的关键则在于使用者思想上的转变。安全领域的大师,网络技术安全咨询公司CounterpaneInternetSecurityInc.的创立者布鲁斯?施奈德(BruceSchneier)在其新推出的《战胜恐惧》(BeyondFear)一书中提到:“安全的本质在于它是一个过程,而非产品”。而经历这一过程的使用者,就是需要安全的企业。
以杀病毒为例,如果不更新杀毒软件来应对新的威胁,那么安装该软件是起不了什么作用的。即便进行了更新,还是有可能不走运:杀毒软件必须等待病毒发动新的攻击时加以确认,然后再行动起来,更新病毒定义,保护电脑用户。赛门铁克公司的CEO约翰?汤普森在最近一次的计算机分销商展览会上时说,安全措施的核心问题不应该仅仅停留在问题出现后清除病毒上,而应该转向通过自动化的补丁措施及软硬件之间更好地协调对潜在问题的提早预见上。
在现代企业的网络安全问题中,像这些单靠产品还不够而需要思维上的转变,还存在很多。可以发现,虽说现实生活中的安全问题不少,但基本能让人“安居乐业”,而网络安全还远没有达到这样的效果。现实生活中的很多经验和思维方式都没有应用到网络安全中去,人们对于网络安全的认识还是不够。“如果在大街上随便问一个人,他们会说安全是把东西锁住,然后有密码才能进去。”在今年微软亚洲研究院主办的“21世纪的计算”大会中,图灵奖得主ButlerLampson博士这样说,“实际上的情况并不是这么简单,控制或者是锁起来并不是说贼不能进入这个系统,而是要使他难以进入,一旦被入侵要抓住并惩罚他,并且惩罚必须是有效的。”针对这个层面,在未来的网络安全中会涉及到一种跟踪的机制。互联网架构委员会(IAB)最近表示,准备在今后制定新型的网络跟踪系统,迫使那些哪怕是最为狡猾的黑客们也会在作案后留下一些蛛丝马迹。
还有,Lampson所说的“安全问题是成本很高的,你只需要你真正需要的就可以了”在计算机世界中就很难做到。“不做这项安全投资带来的损失可能是多少,而此项安全措施的投入是多少”的比较经常出现。施奈德在书中说,“安全就是一种思想状态,而且是一种围绕解决问题、预见问题以及设想问题的思想状态。”